支付卡行业 (PCI) 数据安全标准 (DSS)

PCI DSS 概述

支付卡行业 (PCI) 数据安全标准 (DSS) 是一种全球信息安全标准,旨在通过增强对信用卡数据的控制来预防欺诈。 如果各种规模的组织接受五大信用卡品牌(Visa、MasterCard、American Express、Discover 和 Japan Credit Bureau (JCB))的支付卡,则他们必须遵循 PCI DSS 标准。 任何存储、处理和传输付款持卡人数据的组织都必须符合 PCI DSS。

Microsoft 和 PCI DSS

Microsoft 由经认可的合格安全性评估师 (QSA) 完成 PCI DSS 年度评估。 审核员评审了 Microsoft Azure、Microsoft OneDrive for Business和Microsoft Office SharePoint Online环境,其中包括验证基础结构、开发、运营、管理、支持和范围内服务。 PCI DSS 根据交易量指定了四个级别的合规性。 Azure、OneDrive for Business 和 SharePoint Online 被认证为符合 PCI DSS 3.2 版的 Service Provider Level 1(成交量最高,每年超过 600 万)。

通过该评估,我们获得了可向客户提供的合规性证明 (AoC) 和 QSA 颁发的合规性报告 (RoC)。 合规性的有效期开始于通过审核并收到评审员的 AoC,并于签署该 AoC 之日起一年后失效。

希望开发持卡人环境或卡处理服务的客户可以在许多底层部分中使用这些验证,从而减少获取自己的 PCI DSS 认证的相关工作和成本。

请务必了解,Azure、OneDrive for Business 和 SharePoint Online 的 PCI DSS 符合性状态不会自动转换为客户在这些平台上生成或托管的服务的 PCI DSS 认证。 客户负责确保他们自己符合 PCI DSS 要求。

Microsoft 范围内的云平台和云服务

  • Azure 与 Azure 政府
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Graph
  • Office 365
  • OneDrive for Business 和 SharePoint Online(仅限美国)
  • PowerApps 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
  • Power Automate(作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供)
  • Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供

Azure、Dynamics 365 和 PCI DSS

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure PCI DSS 产品/服务

Office 365 和 PCI DSS

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 OneDrive for Business、SharePoint Online

Office 365 审核、报告和证书

常见问题解答

为什么 AoC (合规性证明) 封面显示“2022 年 9 月”?

封面上的 2022 年 9 月日期是发布 AoC 模板的日期。 有关评估的日期,请参阅第 2 部分。

PA DSS 与 PCI DSS 之间有何关系?

支付应用程序数据安全标准 (PA DSS) 是一套符合 PCI DSS 的要求,它取代了 Visa 的支付应用程序最佳做法,并整合了其他主要发卡机构的合规性要求。 PA DSS 帮助软件供应商开发第三方应用程序,以在卡授权或结算过程中存储、处理或传输持卡人支付数据。 零售商必须使用经 PA DSS 认证的应用程序,以有效取得 PCI DSS 合规性。 PA DSS 不适用于 Azure。

什么是收单机构,Azure 是否使用收单机构?

收单机构是指处理支付卡事务的银行或其他实体。 Azure 不提供支付卡处理服务,因此不使用收单机构。

PCI DSS 适用于哪些组织和商家?

PCI DSS 适用于任何接受、传输或存储持卡人数据的公司,不论规模或交易量如何。 也就是说,如果任何客户使用信用卡或借记卡向公司进行了支付,则会应用 PCI DSS 要求。 根据过去 12 个月内总交易量,被确认为四个级别之一的公司。 Level 1 针对一年处理的交易量超过 600 万的公司;Level 2 针对 100 万到 600 万交易量;Level 3 针对 2 万到 100 万交易量;Level 4 针对低于 2 万交易量。

OneDrive for Business 和 SharePoint Online 的范围内是什么?

目前,只有上载到 OneDrive for Business 和 SharePoint Online 的文件和文档符合 PCI DSS 标准。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源